En Resumen

  • Una campaña de botnets ha estado infectando las máquinas MS-SQL con malware para minar criptomonedas.
  • Los servidores infectados han estado minando Monero y Vollar para los atacantes.
  • La campaña sigue infectando unas 3.000 nuevas máquinas diariamente en todo el mundo.

Guardicore, una compañía de centros de datos y seguridad en la nube, publicó un informe detallando una extensa campaña de una red de bots para secuestrar máquinas de Microsoft SQL Server (MS-SQL) en todo el mundo y forzarlas a minar las criptodivisas Monero y Vollar.

Apodada "Vollgar" por la compañía -como una mezcla de Vollar y vulgar- la campaña ha continuado desde que fue detectada por primera vez en mayo de 2018, infectando sistemáticamente alrededor de 3.000 nuevas máquinas diariamente en todo tipo de industrias, incluyendo la salud y las telecomunicaciones.

Según Guardicore, los países más infectados son China, India, Estados Unidos, Corea del Sur y Turquía, y la gran mayoría de las máquinas atacantes se encuentran en China. Un pico de actividad en diciembre de 2019 llamó la atención de la compañía, lo que finalmente llevó al informe de hoy.

"Durante sus dos años de actividad, el flujo de ataques de la campaña ha permanecido similar -muy completo, bien planeado y ruidoso", dice el informe.

La parte "vulgar" del nombre de Guardicore proviene de lo agresivos que han sido los atacantes al reclamar la posesión de las máquinas secuestradas. Después de asegurar el acceso tras los intentos de ingreso por fuerza bruta, la red de robots cambia una serie de configuraciones en la máquina para descargar el malware, pero también elimina procesos que podrían habilitar otros tipos de malware. De esta manera, la red de robots puede utilizar la mayor cantidad posible de recursos de la máquina infectada.

Monero es una criptomoneda que los botnets suelen minar a través de las máquinas infectadas. En enero, un investigador de seguridad descubrió un esquema de minería de Monero en un servidor web operado por el Departamento de Defensa de los Estados Unidos.

También, a finales del año pasado, se descubrió que la red de botnets Stantinko, de larga trayectoria, utilizaba YouTube para instalar módulos de minería de Monero en las computadoras.

Guardicore ya ha lanzado un script de detección e indicadores de infección para ayudar a los administradores de los servidores a determinar si sus servidores MS-SQL están infectados o no.